The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Cloudflare запустил сервис для отслеживания фильтрации некорректных маршрутов BGP

17.04.2020 20:57

Компания Cloudflare ввела в строй сайт isBGPSafeYet.com, призванный привлечь внимание к проблеме с утечкой некорректных BGP-маршрутов и возможности совершения атак по перенаправлению трафика при помощи протокола BGP. Сайт позволяет проверить применение провайдерами технологии фильтрации некорректных маршрутов и оценить внедрение поддержки RPKI.

Многие операторы остаются незащищёнными от поступления BGP-анонсов подсетей с фиктивными сведениями о длине маршрута, направляющими транзитный трафик через сторонних провайдеров. Всё чаще всплывают случаи использования BGP для атак, в ходе которых злоумышленники путём компрометации инфраструктуры провайдеров организуют перенаправление и перехват трафика для подмены конкретных сайтов через организацию MiTM-атаки для замены ответов DNS.

Решением проблемы является внедрение системы авторизации BGP-анонсов на основе RPKI (Resource Public Key Infrastructure), позволяющей определить исходит ли BGP-анонс от владельца сети или нет. При использовании RPKI для автономных систем и IP-адресов строится цепочка доверия от IANA к региональным регистраторам (RIRs), а затем к провайдерам (LIR) и конечным потребителям, которая позволяет третьим лицам удостовериться, что операция с ресурсом была произведена его владельцем. К сожалению, несмотря на проблемы, RPKI пока не применяется большей частью провайдеров. Новый сервис Cloudflare позволяет отследить проблемных операторов и привлечь к ним общественное внимание.



  1. Главная ссылка к новости (https://blog.cloudflare.com/is...)
  2. OpenNews: Утечка BGP-маршрута в Ростелекоме привела к нарушению связности крупнейших сетей
  3. OpenNews: Утечка BGP-маршрутов привела к массовому нарушению связности в интернете
  4. OpenNews: Ошибочный BGP-анонс на 74 минуты нарушил связность сетей Google и Cloudflare
  5. OpenNews: BGPsec получил статус предложенного стандарта
  6. OpenNews: Зафиксировано перенаправление трафика крупнейших финансовых сервисов через BGP
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/52757-bgp
Ключевые слова: bgp, cloudflare, rpki
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (40) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 21:05, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все новое это хорошо забытое старое!

    https://gul-tech.livejournal.com/3349.html

     
  • 1.2, Аноним (2), 21:35, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Удивительно, как этот дремучий небезопасный протокол, держащийся исключительно на "мамой клянусь!", дожил до 2к20 года.
     
  • 1.3, йо ж (?), 21:38, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    rостелеком негодуэ
     
     
  • 2.4, Аноним (4), 22:00, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    скоро ркн забанит
     
     
  • 3.19, псевдонимус (?), 07:48, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    И правильно сделает! )
     
     
  • 4.22, Аноним (4), 09:59, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а жаль, лучше бы тебя тут забанили наконец
     
  • 3.23, marios (ok), 11:29, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В РКН уже забанен этот сервис проверки isbgpsafeyet.com, по IP.
     
     
  • 4.35, псевдонимус (?), 19:57, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Молодцы! Хоть какая-то польза, кроме вреда от них есть!
     
  • 2.5, Аноним (5), 22:30, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А ещё, раньше в https everywhere была проверка сертов, но потом её куда-то слили по тихому (вместе с поддержкой тора).

    Я подозрительно часто замечаю левые серты при доступе из стран второго и третьего мира. Есть ли какие-то подводные камни, если запилить проверку через https://www.grc.com/fingerprints.htm ?

     
     
  • 3.6, Аноним (6), 22:37, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я подозрительно часто замечаю левые серты при доступе из стран второго и третьего мира.

    Пруфы будут?

     
     
  • 4.7, Аноним (5), 22:44, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Лично можешь убедиться. Находишь сайт из списка ркн с хттпс, заблоченный не целиком, переходишь на него, далее либо твой провайдер дропает соединение, либо тебя дропают на том конце, либо твой провайдер подменяет серт, либо магистральный провайдер подменяет серт на левый, либо кто-то в цепочке подменяет на специальный валидный серт, который почему-то отдаётся только для РФ и ни для какой другой страны (проверил тогда больше 5 стран со всего глобуса), в частности несколько раз наблюдал очень странные серты комодо. Всё зависит от провайдера правда, на разных провайдерах происходило по-разному.
     
     
  • 5.9, Аноним (6), 22:58, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > далее либо твой провайдер дропает соединение, либо тебя дропают на том конце,

    это понятно
    > либо твой провайдер подменяет серт, либо магистральный провайдер подменяет серт на левый, либо кто-то в цепочке подменяет на специальный валидный серт, который почему-то отдаётся только для РФ и ни для какой другой страны

    А вот с этого места поподробней.

     
     
  • 6.21, Аноним (21), 09:51, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Заходишь на какой-нибудь сайт через какой-нибудь американский прокси и с удивлением замечаешь, что сайт внезапно стал подписан сертом клаудфларе...
     
     
  • 7.24, Аноним (6), 13:06, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    CloudFlare это своя тема, у них даже CAA запись хайжекается c CAA misclick.xyz 0 issue letsencrypt.org на

    misclick.xyz.           3600    IN      CAA     0 issue "comodoca.com"
    misclick.xyz.           3600    IN      CAA     0 issue "digicert.com"
    misclick.xyz.           3600    IN      CAA     0 issue "letsencrypt.org"
    misclick.xyz.           3600    IN      CAA     0 issuewild "comodoca.com"
    misclick.xyz.           3600    IN      CAA     0 issuewild "digicert.com"
    misclick.xyz.           3600    IN      CAA     0 issuewild "letsencrypt.org"

    Ты мне хайжекнутый серт Комодо покажи для этого домена.

     
  • 5.13, Аноним (13), 01:48, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >сайт из списка ркн с хттпс, заблоченный не целиком

    Что значит "не целиком"?

    Вот что пишет браузер при попытке зайти из РФ на заблокированный сайт:

    zn.ua использует недействительный сертификат безопасности. К сертификату нет доверия, так как он является самоподписанным. Сертификат действителен только для MGTS Сертификат истёк 21.12.2019 21:14. Текущее время — 18.04.2020 1:41. (Код ошибки: sec_error_expired_issuer_certificate)

     
     
  • 6.14, Аноним (5), 01:57, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это значит, что на сайте заблокирована только одна страница (https, при этом по http она же была доступна, лол). У вашего провайдера может быть другой MITM, или он может быть отключён в честь перегруженной сети. Я так понял, особой унификации там нет, и каждый городит кто во что горазд.
     
     
  • 7.15, Аноним (13), 02:02, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Этот сайт не открывается через http
    При попытке зайти через этого провайдера на заблокированные сайты, открывающиеся только через https, всегда такая картина.
    Если заблокированный сайт открывается через http, то появляется заглушка.
     
  • 6.17, Anonymouss (?), 04:29, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Проверил через европейский прокси: zn.ua - сертификат валиден до 14 мая 2020 года.
    Посмотрите пожалуйста что за сертификат такой то у вас приходит?
     
     
  • 7.27, Аноним (13), 14:39, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Проверил через европейский прокси: zn.ua - сертификат валиден до 14 мая 2020 года.

    У меня то же самое.

    >Посмотрите пожалуйста что за сертификат такой то у вас приходит?

    Когда браузер пишет: "zn.ua использует недействительный сертификат безопасности. К сертификату нет доверия, так как он является самоподписанным. Сертификат действителен только для MGTS Сертификат истёк 21.12.2019 21:14. Текущее время — 18.04.2020 14:26. (Код ошибки: sec_error_expired_issuer_certificate)", то сертификат он не показывает.
    Как его посмотреть - не знаю.

     
  • 5.20, Аноним (6), 09:32, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Анон, не стесняйся, ты своим заявлением можешь порушить многомиллиардные структуры Комодо его ребренд в виде Sectigo, ничего, ты срубишь бабосов, а потом будешь сидеть с видом на Моховую и никуда не выходить как Сноуден!

    Только, умоляю, скажи кто делает MITM.

     
     
  • 6.29, СеменСеменыч777 (?), 15:05, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > кто делает MITM.

    Казахстан точно делал. что там сейчас, я уже не в курсе.

     
     
  • 7.31, Аноним (31), 19:04, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    _Требовать_ поставить свой root CA это всё же не то же самое что _подделывать_ чужие сертификаты.
     
     
  • 8.37, Аноним (5), 20:31, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так никто же не подделывает, их просто заменяют на свои А то, что они доверенны... текст свёрнут, показать
     
  • 8.40, СеменСеменыч777 (?), 21:41, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    а по-моему смысл один и тот же - MITM только методы разные ... текст свёрнут, показать
     
  • 3.16, СеменСеменыч777 (?), 03:41, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    лет 5-10 назад для фаерфокса был плагин (забыл его имя, может кто помнит?), он проверял каждый сертификат на трех географически разнесенных серверах под управлением автора плагина. сейчас это все как-то сдохло.

    если сейчас делать заново, то в виде 1ранговой сети p2p. каждый юзер плагина вполне может поработать сервером, и помочь другим с проверкой.

    или через юзер-левел прокси типа privoxy что-то намутить.

     
     
  • 4.28, СеменСеменыч777 (?), 15:03, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    вдогонку:

    > в виде 1ранговой сети p2p

    в DHT можно ли эти сертификаты разместить ? или ссылки на них, с указанием: когда проверено и из какого региона ?

     
  • 4.36, Аноним (-), 20:28, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > был плагин (забыл его имя, может кто помнит?)

    Certificate Patrol. Закопан вместе с xul, к сожалению.

     
  • 3.39, Аноним (-), 08:15, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если не чего не попутал и правильно помню. Так вроде, сопало или нет. Была мощная Dos атака через сервера тор кудато и большая часть ip с которы шла атака были из ru. Через какое-то время тор убрали.
     
     
  • 4.41, Аноним (41), 08:14, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Из ru на тор я так понял,помню.
     

  • 1.10, 000001 (?), 00:26, 18/04/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –5 +/
     
  • 1.11, Аноним (11), 00:31, 18/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Как я понимаю, основная идея состоит в централизации контроля за Интернетом, упр... большой текст свёрнут, показать
     
     
  • 2.12, Crazy Alex (ok), 01:17, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    IANA эти самые адреса выдаёт, если что
     
  • 2.18, Аноним (18), 07:37, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    США могут законодательно запретить всем американским компаниям маршрутизировать трафик в неугодную страну. А всем остальным пригрозить санциями, в результате чего американские компании обрубят с ними связь, банки заморозят счёта, а Cisco и Juniper откажутся продавать железо. И никакие цифровые подписи для этого не нужны.
     
     
  • 3.25, Аноним (25), 13:16, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Отличный план, хуавей одобряет.
     
     
  • 4.26, Аноним (18), 14:25, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И к кому будет подключатся железо хуавей? Google, Facebook, Twitter, Microsoft, англ. Wikipedia и большая часть русскоязычных сайтов находящихся на европейских серверах останутся в "демократическом" интернете. Потому, что выбор или услуги американских корпораций и всех кто согласился блокировать неугодных или доступ только к неугодным отщепенцам и их верным соратником.
     
     
  • 5.32, Аноним (31), 19:14, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тем кому Cisco и Juniper откажутся продавать железо, очевидно же.
     
  • 3.33, Аноним (31), 19:17, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > США могут законодательно запретить всем американским компаниям маршрутизировать трафик в неугодную страну.

    Как вы себе это представляете? ;-)

     
     
  • 4.34, Аноним (18), 19:30, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как вы себе это представляете? ;-)

    А как сейчас действует запрет на работу в Крыму и сотрудничество с каждым, кто работает в Крыму? Есть федеральный закон, а сесть в тюрьму никто из директоров не хочет. Поэтому не то, что американские компании, крупные российские компании избегают Крыма как чумы.

     

  • 1.30, erera22 (ok), 15:35, 18/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все это конечно круто и со стороны кажется нужным. Пока к тебе не приходит оператор со словами "давайте скорее включимся, у нас тут все прям уже плохо...но внести в RIPE информацию мы сможем чуть позже, потому что человек с паролями где-то далеко, а пока через кого-нибудь, но анонсы уйдут в мир". Прописать RPKI (клик-клик-и все!) - это уже прям фииик знает, "нам пока это не надо, давайте так, все равно никто не смотрит".
     
     
  • 2.38, Crazy Alex (ok), 00:41, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот и надо дрессировать.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру